CN115834130A - 一种实现了部分策略隐藏的属性基加密方法 - Google Patents

Abstract

本发明公开了一种实现了部分策略隐藏的属性基加密方法，包括：属性权威和云服务器初始化系统参数；属性权威向数据请求者分发请求者属性私钥；数据拥有者生成访问控制结构并对明文数据加密，将加密生成的密文发送云服务器；数据请求者向云服务器发送密文数据请求；云服务器根据用户可用信息表过滤密文数据请求对应的密文数据，将过滤的密文数据发送数据请求者；数据请求者加密部分属性私钥和密文数据，将其发送云服务器；云服务器根据数据请求者发送的数据为数据请求者代为执行解密测试计算，将解密测试结果发送数据请求者；数据请求者根据解密测试结果对密文数据进行解密得到明文数据。本发明设计了一种全新的多功能且安全高效的属性基加密方案。

Description

一种实现了部分策略隐藏的属性基加密方法

技术领域

本发明属于信息安全技术领域，具体涉及一种实现了部分策略隐藏的属性基加密方法。

背景技术

随着云计算给人们的工作和生活带来了越来越多的便利，许多个人和企业开始使用云服务器来存储和分享他们的私有数据。云数据分享系统在现代生活中有着广泛的应用环境。人们在享受着云带来的便利的同时，也提出了更进一步的对他们存储在云上数据的机密性的诉求。数据拥有者仅希望他们的数据被特定的用户访问。于是，怎么使得数据拥有者自己为待上传的数据制定策略成为了一个热点问题。

属性基加密提供了一个新颖的思路来解决关于如何实现云上数据细粒度访问控制的问题，因为属性基加密将访问策略细化到了用户属性的级别。属性基加密又可分为密钥策略属性基加密(Key-Policy Attribute-Based Encryption，简称KP-ABE)和密文策略属性基加密(Ciphertext-Policy Attribute-Based Encryption，简称CP-ABE)，在这两种加密方案中，密文策略属性基加密更适用于云上数据分享系统因为它可以支持由数据拥有者为其自己的数据制定访问控制策略。这属于一对多的通信场景，即一条私密数据可由多个自身属性集合符合访问控制策略的用户所解密，而多个部分符合访问控制策略的用户无法合谋破解密文。在第一篇CP-ABE的论文问世之后，后续涌现了许多关于CP-ABE加密方案的变种方案，这些方案普遍对原始的CP-ABE方案进行了方案的修正或是功能的添加。比如文章“Zhang,Wei,et al."PHAS-HEKR-CP-ABE:partially policy-hidden CP-ABE withhighly efficient key revocation in cloud data sharing system."Journal ofAmbient Intelligence and Humanized Computing 13.1(2022):613-627.”中，构造了一个可以同时支持全策略隐藏、属性撤销和关键词搜索的CP-ABE方案，该方案利用子集覆盖理论实现了属性的直接撤销，并且与撤销操作无关的其他用户不需要更新密钥；文章“Li,Qi,et al."HTAC:Fine-grained policy-hiding and traceable access control inmHealth."IEEE Access 8(2020):123430-123439.”中，构建了一个基于LSSS的大规模属性域上的可同时支持部分策略隐藏和恶意用户追溯的CP-ABE方案，它新增了支持恶意用户追溯的功能，部分策略隐藏方案的解密测试步骤同样是在用户本地完成的。

但是，上述现有属性基加密方案，在实现全策略隐藏或部分策略隐藏的方案里，正常解密和解密测试都是由解密用户在本地执行，导致用户端的计算负担较大。

发明内容

为了解决现有技术中存在的上述问题，本发明提供了一种实现了部分策略隐藏的属性基加密方法。本发明要解决的技术问题通过以下技术方案实现：

本发明实施例提供了一种实现了部分策略隐藏的属性基加密方法，应用于包括属性权威、云服务器、数据拥有者和数据请求者的系统，对应加密方法包括：

所述属性权威和所述云服务器初始化各自的系统参数；

所述数据请求者向所述属性权威发送属性私钥请求；

所述属性权威接收到所述数据请求者发送的属性私钥请求后，根据所述数据请求者发送的属性私钥请求更新用户可用信息表，并生成请求者属性私钥，向所述数据请求者分发对应的请求者属性私钥，同时向所述云服务器发送更新后的用户可用信息表；

所述数据拥有者生成明文数据的访问控制结构，根据所述访问控制结构对所述明文数据进行加密得到密文数据，以及将所述密文数据和所述访问控制结构发送至所述云服务器；

所述数据请求者向所述云服务器发送密文数据请求；

所述云服务器接收到所述密文数据请求后，根据所述用户可用信息表过滤所述密文数据请求对应的密文数据，并将过滤后的密文数据发送至所述数据请求者；

所述数据请求者加密部分所述请求者属性私钥和部分过滤后的密文数据，并将加密后的部分请求者属性私钥和部分过滤后的密文数据发送至所述云服务器；

所述云服务器接收到加密后的部分请求者属性私钥和部分过滤后的密文数据后，根据所述访问控制结构为所述数据请求者代为执行解密测试计算得到解密测试结果，并将所述解密测试结果发送至所述数据请求者；

所述数据请求者接收到所述解密测试结果后，根据所述解密测试结果对密文数据进行解密得到最终的明文数据。

在本发明的一个实施例中，所述用户可用信息表包括：

所述数据请求者的用户ID、所述请求者属性私钥是否可用的标识、所述数据请求者的属性，以及所述数据请求者的属性是否可用的标识。

在本发明的一个实施例中，所述访问控制结构为基于LSSS的隐式访问结构；所述基于LSSS的隐式访问结构包括访问控制矩阵，以及所述访问控制矩阵与属性类别的映射关系。

在本发明的一个实施例中，根据所述数据请求者发送的属性私钥请求在所述属性权威生成请求者属性私钥，包括：

随机生成一随机变量；

根据所述数据请求者发送的属性私钥请求中用户ID、属性类别和属性值，以及所述随机变量在所述属性权威生成请求者属性私钥。

在本发明的一个实施例中，所述数据拥有者根据所述访问控制结构对所述明文数据进行加密得到密文数据，包括：

所述数据拥有者使用对称密钥对所述明文数据进行加密；

根据所述访问控制结构对所述对称密钥进行加密；其中，由加密的明文数据和加密的对称密钥构成所述密文数据。

在本发明的一个实施例中，所述云服务器根据所述用户可用信息表过滤所述密文数据请求对应的密文数据，包括：

所述云服务器对所述数据请求者进行身份认证；

对于身份认证通过的所述数据请求者，根据所述用户可用信息表过滤所述密文数据请求对应的密文数据。

在本发明的一个实施例中，根据所述访问控制结构为所述数据请求者代为执行解密计算得到解密结果，包括：

将所述访问控制矩阵按行展开生成一由若干属性子集构成的列表结构；

遍历所述列表结构中每一属性子集，判断当前属性子集是否为最小属性子集，若是，则将所述当前属性子集对应的求解结果作为解密结果，否则，继续判断下一属性子集是否为最小属性子集直至所述列表结构中所有属性子集完成判断。

在本发明的一个实施例中，对应方法还包括：

所述数据拥有者向所述属性权威发送属性私钥请求；

所述属性权威接收到所述数据拥有者发送的属性私钥请求后，根据所述数据拥有者发送的属性私钥请求更新所述用户可用信息表，并在所述属性权威生成拥有者者属性私钥，向所述数据拥有者发送拥有者属性私钥，同时向所述云服务器发送更新的用户可用信息表；其中，所述用户可用信息表包括所述数据拥有者的用户ID、所述拥有者者属性私钥是否可用的标识、所述数据拥有者的属性，以及所述数据拥有者的属性是否可用的标识。

在本发明的一个实施例中，根据所述解密测试结果对所述密文数据进行解密得到最终的明文数据，包括：

根据所述解密测试结果和所述请求者属性私钥对所述密文数据进行解密得到对称密钥；

根据所述对称密钥对加密的明文数据进行解密得到最终的明文数据。

在本发明的一个实施例中，对应方法还包括：

所述属性权威对疑似泄密的属性私钥进行完好性检测，若未通过完好性检测，则流程终止；所述属性私钥包括所述请求者属性私钥和所述拥有者属性私钥；

所述属性权威根据所述通过完好性检测的所述属性私钥还原属性私钥所属用户的用户ID；

根据所述用户ID更新所述用户可用信息表以撤销所述用户ID对应用户的相关解密权限。

本发明的有益效果：

本发明提出的实现了部分策略隐藏的属性基加密方法，首先属性权威和云服务器初始化各自的系统参数，属性权威向系统中的所有用户根据其属性分发属性私钥。接着，数据拥有者在本地生成针对自身明文数据的访问控制策略，并对明文数据进行加密得到密文数据，并最终将密文数据上传至云服务器中。当一个数据请求者想要请求某份密文数据时，其先向云服务器发送一密文数据请求，云服务器接收到密文数据请求后根据用户可用信息表过滤被请求的密文数据，并将过滤后的密文数据发送给数据请求者。数据请求者接收到过滤后的密文数据后，在本地加密自身的部分请求者属性私钥和部分过滤后的密文数据，并将加密后的请求者属性私钥和密文数据发送给云服务器。云服务器在接收到加密后的请求者属性私钥和密文数据后为数据请求者代为执行解密测试的计算，并最终将解密测试结果返还给数据请求者。数据请求者在接收到云服务器发来的解密测试结果后，在本地对加密的明文数据解密得到最终的明文数据。可见，本发明通过生成的访问控制策略实现部分策略隐藏的CP-ABE方案，根据用户可用信息表过滤密文数据请求对应的密文数据实现对系统用户的密钥撤销功能；资源受限的用户端可能会无法负担较重的解密计算，因此非常有必要将部分解密计算，比如解密测试部分的计算外包给云服务器来完成，从而提高用户端的解密效率，同时在解密测试部分外包中，对请求者属性私钥进行了加密，使得即使外包于云服务器也可以有效避免数据泄密的情况。

以下将结合附图及实施例对本发明做进一步详细说明。

附图说明

图1是本发明实施例提供的一种实现了部分策略隐藏的属性基加密方法的系统示意图；

图2是本发明实施例提供的一种实现了部分策略隐藏的属性基加密方法的交互示意图；

图3是本发明实施例提供的另一种实现了部分策略隐藏的属性基加密方法的系统示意图；

图4是本发明实施例提供的另一种实现了部分策略隐藏的属性基加密方法的交互示意图；

图5是本发明实施例提供的云服务器发放密文数据的流程示意图；

图6是本发明实施例提供的云服务器代理解密测试的流程示意图；

图7是本发明实施例提供的系统完整且详细的加密方法的流程示意图。

具体实施方式

下面结合具体实施例对本发明做进一步详细的描述，但本发明的实施方式不限于此。

针对现有属性基加密方案中，解密测试都是由解密用户在本地执行，导致用户端的计算负担较大的问题，请参见图1，本发明实施例提出了包括属性权威(AA)、云服务器(CS)、数据拥有者(DO)和数据请求者(DU)的系统，并重新定义了系统中每一部分的功能，使得降低了用户端计算量的同时，还可以保证数据传输的安全性，具体每一部分功能实现如下：

属性权威AA，被认为是完全可信的第三方实体比如主机或服务器，它会严格地履行它的职责并且不会和其他实体共谋，在这里属性权威AA的功能有：生成系统公钥PK和系统私钥MK；根据系统中用户，即数据拥有者DO和数据请求者DU的属性为其分别分发拥有者属性私钥、请求者属性私钥；数据拥有者DO和数据请求者DU的属性更新用户可用信息表(Availability Information Table，简称AIT)并把用户可用信息表AIT同步于存储服务器CS。

云服务器CS，被认为是半可信的第三方实体，他会严格执行系统流程，但同时对系统中其他用户的数据感兴趣，可能会在系统执行过程中试图获取用户的隐私信息，在这里云服务器CS的功能有：存储数据拥有者DO上传的密文数据；当接收到数据请求者DU发送的密文数据请求时，对相关密文数据进行过滤并返回过滤后的密文数据，为数据请求者DU提供密文云端解密测试，帮助数据请求者DU判断是否有对特定密文数据的解密资格，如果有，则还需返回数据请求者DU后续解密必要的相关解密参数。

数据拥有者DO，负责对明文数据进行加密得到密文数据，并将密文数据以及其访问控制结构发送至云服务器CS。

数据请求者DU，负责从云服务器CS中获取经过滤后的密文数据，并将自己的部分请求者属性私钥及部分密文数据加密后再发送至云服务器CS中，云服务器CS代为执行解密测试，若其确定为合法的解密用户，则可以使用服务器CS返回的解密参数和自己的请求者属性私钥来来解密得到明文数据。

根据重新定义的每一部分实现的功能，请参见图2，本发明实施例提供了一种实现了部分策略隐藏的属性基加密方法，交互过程包括以下步骤：

S10、属性权威AA和云服务器CS初始化各自的系统参数。

本发明实施例属性权威AA初始化其系统参数的过程，记为AA-Setup算法，输入为安全参数λ，输出为系统公钥PK和系统私钥MK，AA-Setup(λ)→PK,MK算法具体实现如下：

使用安全参数λ生成双线性对及相关参数：{p,G,g,e:G×G→G_T}，其中，G,G_T为双线性对中使用的乘法循环群，p为群G和G_T的阶，g为G的生成元，e为使用的对称双线性对映射。定义3个抗碰撞的哈希函数：

H₁:{0,1}^*→G

H₂:{0,1}^*→G

H₃:G×G×G×{0,1}^*×{0,1}^*→{0,1}^*。

选择一对称加密算法SE以及2个不同的加解密对称密钥

用于将二进制字符串加密成

上的元素，

表示模p的乘法群。

初始化一

门限秘密共享方案并保存多项式f(x)以及其上的

个点：

生成随机参数：

并确定系统公钥PK和系统私钥MK：

PK＝g,g^d,e(g,g)^α,g^β,g^γ

其中，d,α,β,γ分别表示系统初始化时用到加密参数。

需要说明的是，属性权威AA初始化中涉及的双线性对映射、Shamir门限秘密共享方案均可以采用现有技术实现，在此不再赘述。

云服务器CS初始化其系统参数的过程，记为CS-Setup算法，输入为空(不需要入参)，输出为g^δ，CS-Setup()→g^δ算法具体实现如下：

随机选取

并公布g^δ。其中，δ表示云服务器CS自身的私钥参数。

S20、数据请求者DU向属性权威AA发送属性私钥请求。

当数据请求者DU请求密钥数据时，向属性权威AA发送属性私钥请求，属性私钥请求用于触发密文数据请求外，还用于更新属性权威AA中用户可用信息表AIT。其中，属性私钥请求携带信息包括请求的密文数据、数据请求者的用户属性、数据请求者的用户ID。

S30、属性权威AA接收到数据请求者DU发送的属性私钥请求后，根据数据请求者发送的属性私钥请求更新用户可用信息表，并生成请求者属性私钥，向数据请求者DU分发对应的请求者属性私钥，同时向云服务器CS发送更新后的用户可用信息表。

属性权威AA接收到所有数据请求者DU发送的属性私钥请求后，根据所有数据请求者DU发送的属性私钥请求中携带的数据请求者的属性Attr_i，得到系统中全体属性集合，记为：{Cate₁,Cate₂,…,Cate_z}。

接着，随机生成一随机变量，根据数据请求者发送的属性私钥请求中用户ID、属性类别和属性值，以及随机变量在属性权威生成请求者属性私钥，在属性权威AA生成请求者属性私钥的过程，记为AttrKeyGen算法，输入为系统公钥PK、系统私钥MK和包括属性类别和属性值的属性集合S，输出为请求者属性私钥K_u，AttrKeyGen(PK,MK,S)→K_u算法具体实现如下：

属性权威AA为数据请求者DU设定了全体属性集合

并生成一唯一的用户全局ID:GID_u∈{0,1}^*，接着计算属性密钥生成的中间参数：

y＝f(x),

随机选取一随机变量

计算

如下：

U_id＝GID_u,

L＝g^t,L′＝g^βt；

K_c＝C,K＝g^α·g^βdtC,K′＝g^dtC；

最后，属性权威AA将生成的请求者属性私钥K_u通过安全信道分发给对应的数据请求者DU。

进一步地，根据属性私钥请求更新用户可用信息表，本发明实施例定义用户可用信息表包括：数据请求者的用户ID、数据请求者的属性私钥是否可用的标识、数据请求者的属性Attr_i，以及该数据请求者的属性Attr_i是否可用的标识，其中每一个属性Attr_i分为属性类别c_i和属性值v_i两部分。具体根据属性私钥请求携带数据请求者的属性Attr_i、数据请求者的用户ID更新用户可用信息表AIT(初始化为空表)如表1所示，记录每一数据请求者DU对应的用户可用信息表AIT。

表1用户可用信息表AIT

U<sub>id</sub>

GAvail

Cate<sub>1</sub>

Cate<sub>2</sub>

…

Cate<sub>z</sub>

其中，U_id表示数据请求者的用户ID；GAvail表示该数据请求者的属性私钥是否可用，GAvail＝Y表示可用，GAvail＝N表示不可用，即该撤销该数据请求者的用户私钥；Cate_i表示数据请求者的第i个属性，Cate_i＝Y表示数据请求者的第i个属性可用，Cate_i＝N表示撤销数据请求者的第i个属性，其中，i取值为1～z，z为属性数目。如表2给出了示例性用户可用信息表AIT的赋值情况。

表2用户可用信息表AIT示例

U<sub>id</sub>	GAvail	Cate<sub>1</sub>	Cate<sub>2</sub>	…	Cate<sub>z</sub>
						GID<sub>u</sub>	Y	Y	Y	…	Y

同时，向云服务器发送表2所示更新后的用户可用信息表AIT。

S30、数据拥有者DO生成明文数据的访问控制结构，并对明文数据进行加密得到密文数据，以及将密文数据和访问控制结构发送至云服务器CS。

本发明实施例中，数据拥有者DO生成明文数据的访问控制结构，优选访问控制结构为基于LSSS的隐式访问结构，基于LSSS的隐式访问结构包括访问控制矩阵M_l×n，以及访问控制矩阵与属性类别的映射关系τ。对于LSSS的访问控制矩阵M_l×n而言，将其每一行i映射得到一属性{c_i,v_i}，然后定义两个映射函数ρ:i→c_i和τ:i→v_i，其中ρ(i)→c_i将矩阵M_l×n的第i行映射到相应的属性类别c_i，τ(i)→v_i将矩阵M_l×n的第i行映射到相应的属性值v_i。

在本发明实施例系统中，数据拥有者DO对明文数据进行加密得到密文数据的过程，记为Encrypt算法，输入为系统公钥PK、LSSS访问控制结构、明文数据m，输出为密文数据CT。

算法实现如下：

首先，数据拥有者DO自身使用对称密钥key加密明文数据，然后使用本发明实施例提出的加密策略来加密对称密钥key，并最终将包括加密的明文数据和加密的对称密钥key作为密文数据上传至云服务器CS中。具体本发明实施例提出的加密方案来加密对称密钥key过程如下：

待加密明文数据为m，对称密钥key∈G，数据拥有者DO制定访问控制策略accesspolicy，并根据其生成LSSS访问控制结构{M_l×n,ρ}。

随后，数据拥有者DO选取两个随机向量：

并计算

接着，数据拥有者DO随机选取

并为明文数据m计算密文数据CT如下：

C＝g^s,

最后，数据拥有者DO将密文数据CT以及基于LSSS的隐式访问控制结构{M_l×n,ρ}发送至云服务器CS中。相比于传统的将隐式访问控制结构{M_l×n,ρ,τ}发送至云服务器CS的方式，本发明实施例方案筛去除了隐式访问控制结构中的τ，只留下M_l×n和ρ，使得非法的解密用户只能获知访问策略中的属性类别，而无法得知其属性值。只有合法的解密用户才能通过其属性私钥计算得策略的属性值，从而实现了对策略的隐藏。

最后，数据拥有者DO将密文数据CT和访问控制结构{m_l×n,ρ}发送至云服务器CS。

S40、数据请求者DU向云服务器CS发送密文数据请求；密文数据请求对应携带其请求的密文数据。

S50、云服务器CS接收到密文数据请求后，根据用户可用信息表过滤密文数据请求对应的密文数据，并将过滤后的密文数据发送至数据请求者DU。

因为在本发明实施例中属性撤销是基于用户的身份来实现的，即针对不同的用户来筛选并返回不同的密文数据，具体实现方式是根据系统中的用户可用信息表AIT来查询用户所拥有的属性，进而给其发放相对应的密文数据，从而最终实现属性撤销功能。因此，本发明实施例根据用户可用信息表过滤密文数据请求对应的密文数据的过程，记为CTFilter算法，输入为密文数据CT、用户可用信息表AIT，输出为过滤后的密文数据CT_f。CTFilter(CT,AIT)→CT_f算法具体实现包括云服务器对CS数据请求者DU进行身份认证；对于身份认证通过的数据请求者DU，根据用户可用信息表过滤密文数据请求对应的密文数据。

对于数据请求者DU的密文数据请求，云服务器CS第一步要做的是对数据请求者DU的身份进行认证。具体认证过程如下：

当一个数据请求者DU向云服务器CS请求密文数据时，首选，选择一对称加密算法SE，对称加密算法SE中的对称密钥K_SE生成如下所示。接着数据请求者DU随机选取

并计算：

M_u＝U_id||Certificate(U_id)^χ||g^χ；

K_SE＝(g^δ)^u；

CT_u＝SE.Enc(M_u,K_SE)；

H_u＝H₃(U_id,Certificate(U_id)^χ,g^χ,g^u)。

其中，SE表示数据请求者DU选定的对称加密算法。

随后，数据请求者DU将密文数据请求CTRequest＝{CT_u,H_u,g^u,SE}发送给云服务器CS。云服务器CS收到密文数据请求后，利用自身的私钥δ和数据请求者DU发送过来的g^u重新生成对称密钥K_SE并解密密文数据，计算：

M_u＝SE.Dec(CT_u,(g^u)^δ)。

最后，云服务器CS运行相等性测试用例如下：

如果以上两个相等性测试用例等式的相等性测试都通过，则云服务器CS认为数据请求者DU确定为用户ID为U_id所对应的用户，并进入密文数据筛选过滤环节；如果不通过，则断开与该数据请求者DU的密文数据请求连接。

判别出了数据请求者DU的身份之后，进入密文数据筛选过滤环节。具体地：云服务器CS根据数据请求者DU的U_id从系统的用户可用信息表AIT中查询得到数据请求者DU所拥有的属性，当GAvail为N时代表着该数据请求者DU的密钥已经被撤销了，即该数据请求者DU当前不可用，不能向其返回密文数据，应立即断开与其的连接；进一步地，若GAvail为Y，而某一个Cate_i为N时，说明数据请求者DU没有该属性或已经被撤销了，此时在向其发送密文数据时则不应发送与该属性相关的密文数据，从而间接实现属性撤销的效果。具体的密文筛选过滤过程为，在云服务端CS判断：

如果AIT[U_id][GAvail]＝N，表明用户可用信息表AIT中该数据请求者DU已被撤销，云服务端CS断开与其的连接。

如果AIT[U_id][GAvail]＝Y，则对于i∈{1,2,3,…,l}，若AIT[U_id][ρ(i)]＝N，则筛选过滤完整密文CT中的属性类别对应相关的密文数据，即将

和

移除。

最后，云服务端CS将筛选过滤后的密文数据CT_f发送给数据请求者DU。

S60、数据请求者DU加密部分请求者属性私钥K_u和部分密文数据CT_f，并将加密后的部分请求者属性私钥K′_u和部分密文数据CT′_f发送至云服务器CS。

数据请求者DU在本地随机选取h,

并使用h和b对部分属性私钥和部分密文数据CT进行如下加密，即将K,K′,

幂上h次方计算得到K^h,(K′)^h,

将K_i,

幂上

次方计算得到(K_i)^hb,

K→K^h；

K_i→(K_i)^hb；

K′→(K′)^h；

此时，数据请求者DU将将加密后的部分请求者属性私钥和部分密文数据{K^h,(K_i)^hb,(K′)^h},

{M_l×n,ρ}上传至云服务器CS中。

S70、云服务器CS接收到加密后的部分请求者属性私钥和部分密文数据后，根据访问控制结构为数据请求者DU代为执行解密测试计算得到解密测试结果，并将解密测试结果发送至数据请求者DU。

本发明实施例云服务器CS根据访问控制结构为数据请求者DU代为执行解密测试计算得到解密测试结果的过程，记为CS-DeJudge算法，输入为加密的密文数据CT′_f、加密的请求属性私钥K′_u和系统公钥PK，输出为解密测试结果{*},

CS-DeJudge(CT′_f,K′_u,PK)→{*},

算法具体实现如下：

云服务器CS接收到{K^h,(K_i)^hb,(K′)^h},

{M_l×n,ρ}后，在云服务器CS本地代为运行解密测试计算，根据访问控制结构为数据请求者代为执行解密计算得到解密结果，包括：

首先，将访问控制矩阵M_l×n按行展开生成一由若干属性子集构成的列表结构；比如对于l行的矩阵M_l×n来说，生成一由若干属性子集构成的列表结构：

[{1},{2},…,{1,2},{1,3},…,{1,2,…,l}]。

接着，遍历列表结构中每一属性子集，判断当前属性子集是否为最小属性子集，若是，则将当前属性子集对应的求解结果作为解密测试结果，否则，继续判断下一属性子集是否为最小属性子集直至列表结构中所有属性子集完成判断。比如从头往后取出列表结构中某一列属性子集，记所取出的属性子集中的数字所对应M_l×n中的行组成的矩阵为M_l×n{*}，尝试求解以下线性方程组：

若能解出当前属性子集对应的求解结果

则说明M_l×n{*}矩阵的行所对应的属性是符合access policy的一个最小属性子集，同时删去列表结构中包含{*}的所有集合。接着判断以下等式是否成立：

若成立，则说明数据请求者DU的属性集合能满足这个最小属性子集，则返回求解结果{*},

作为解密测试结果，用于数据请求者DU的后续在其本地的解密；若不成立，则说明数据请求者DU的属性集合不匹配这个最小属性子集，跳至列表结构中下一属性子集重复以上步骤，直至取尽列表结构中所有的属性子集，若此时还未找到匹配的最小属性子集，则说明该数据请求者DU的属性集合不匹配这个密文数据的access policy，返回

S80、数据请求者DU接收到解密测试结果后，根据解密测试结果对密文数据进行解密得到最终的明文数据。

满足访问策略的数据请求者DU使用其由云服务器CS获得的解密测试结果

以及其自己的请求者属性私钥K_u进行最后的密文数据解密的过程，记为Decrypt算法，输入为过滤的密文数据CT_f、请求者属性私钥K_u、解密测试结果{*},

和系统公钥PK，输出明文数据m，

算法具体实现如下：

最后，数据请求者DU通过计算

来获得原始明文数据m。

本发明实施例也可以解决多个数据请求者DU共谋解密的安全性问题，具体地：系统中多个持有不同属性私钥的用户无法实现组合各自的属性私钥来实现对某一个密文数据的解密，即，如果有一份密文数据CT_f只有同时满足“老师”和“管理员”身份的用户才能解密，现假定有两个用户，一个拥有“老师”属性，一个拥有“管理员”属性，那么若他们想通过把各自的属性私钥K_u组合起来解密这个密文数据CT_f是不可能做到的。因为属性权威AA在为每个数据请求者DU生成属性私钥K_u时，都为其嵌入了一个随机变量t，因此不同用户的属性私钥中的t不确定，在共谋解密时将会导致共谋解密失败。

目前，现有大多属性基加密方案都只实现了策略隐藏、属性撤销和恶意用户追溯中的一个或两个，各自都有一定的优势，但缺少同时整合这三方面优势的技术方案。针对这样的需求，本发明实施例在上述重新定义的系统中每一部分的功能中，请参见图3，属性权威机构AA还包括根据恶意用户的属性私钥，溯源出该恶意用户的用户ID。这里，恶意用户(MU)是指将自己的属性私钥泄露出去的用户，比如可以为数据拥有者DO，也可以为数据请求者DU。

在图1所示交互流程的基础上，请参见图4，增加了恶意用户追溯过程，具体对应方法还包括：

数据拥有者DO向属性权威AA发送属性私钥请求；属性权威AA接收到数据拥有者DO发送的属性私钥请求后，根据数据拥有者DO发送的属性私钥请求更新用户可用信息表AIT，并在属性权威AA生成拥有者属性私钥，向数据拥有者DO分发对应的拥有者属性私钥，同时向云服务器CS发送更新后的用户可用信息表AIT。用户可用信息表AIT还包括：数据拥有者的用户ID、拥有者属性私钥是否可用的标识、数据拥有者的属性，以及该数据拥有者的属性是否可用的标识。这里，数据拥有者DO更新用户可用信息表AIT的方式，以及在属性权威AA生成拥有者属性私钥生成拥有者属性私钥均和上述数据请求者DU类似，在此不再赘述。在这里，不管是拥有者属性私钥，还是请求者属性私钥均在图中示意为K_u。

进一步地，对应方法还包括：

属性权威对疑似泄密的属性私钥进行完好性检测，若未通过完好性检测，则流程终止，否则属性权威根据通过完好性检测的属性私钥还原属性私钥所属用户的用户ID；根据用户ID更新用户可用信息表以撤销用户ID对应用户的相关解密权限；属性私钥包括请求者属性私钥和拥有者属性私钥。

经发明人分析，当系统中存在大量其他人员使用某个属性私钥K_u对密文数据进行加密时，认定该属性私钥K_u的原密钥拥有者泄露了其属性私钥K_u，其为恶意用户MU。此时需要通过这个暴露出来的属性私钥K_u反求出密钥泄露者，即溯源出该恶意用户的用户ID。

本发明实施例由属性权威AA来执行密钥完好性检测。对于一个给定的属性私钥K_u，属性权威AA首先需要对该属性私钥K_u,包括数据拥有者DO和数据请求者DU对应的属性私钥进行完好性检测，记为KeySanityCheck算法，输入为系统公钥PK、属性私钥K_u，输出为1或者⊥，KeySanityCheck(PK,K_u)→1/0算法实现为：

对于给定的属性私钥K_u，首先判断其是否为：

的形式，若为此形式，则接着依次计算以下四个等式是否成立：

若以上四个等式全成立则表明属性私钥K_u是完好的，返回1，表明进行后续恶意用户追溯流程，否则返回

采用KeySanityCheck算法进行完好性检测后，若未通过完好性检测则流程终止，否则对该密钥进行用户身份追溯，记为Trace算法，输入为系统公钥PK、加密共享方案

系统私钥MK、属性私钥K_n，输出为用户ID，属性权威AA执行

算法输出U_id或

算法具体实现如下：

解密K_c获取x和y：

如果

则解密x^*来获得U_id：

否则，将原先保存的

个点

与{x^*,y^*}一起协同构建出多项式f′(x)，并计算

并判断

与系统中原来保存的f(0)是否相等，即

若相等则计算

否则返回⊥。

由上述Trace算法跟踪得到了该泄密密钥所属用户的用户ID，即U_id，在用户可用信息表AIT中有用户ID字段，根据用户ID字段确定用户ID为U_id的用户是否存在，存在，则撤销于该用户ID字段记录为U_id的用户的相关解密权限。

为了验证本发明实施例提供的实现了部分策略隐藏的属性基加密方法的有效性，进行以下“隐私保护的高校学生云文档存储-分享系统”的实验进行验证。

隐私保护的高校学生云文档存储-分享系统运行过程包含以下几个部分：

1、系统初始化：属性权威AA、云服务器CS初始化各自的系统参数，并向系统用户(数据拥有者DO和数据请求者DU)分发属性私钥；

2、加密密文数据上传：数据拥有者DO加密文档明文、加密对称密钥，并上传到云服务器CS中；

3、云服务器CS发放密文：云服务器CS核验数据请求者DU身份，核验通过则根据用户可用信息表AIT发放筛选过滤后的密文数据；

4、云服务器CS代理执行解密测试：云服务器CS与数据请求者DU进行信息交互，并辅助数据请求者DU执行解密测试；

5、文档解密：数据请求者DU根据云服务器CS返还的解密测试结果，解密得对称密钥，下载文档密文，并使用解密得的对称密钥解密得文档明文。

整个实验过程由属性权威AA、云服务器CS、数据拥有者DO和数据请求者DU共同完成。

运行过程详细的每一部分实现介绍如下。

1、系统初始化

属性权威AA选择安全参数并生成双线性对，接着定义全体属性集合的种类：{学院,年级,…,兴趣爱好}；

在用户属性授权阶段，假设涉及到的用户属性包括以下分类：①学院：{计算机学院、网络与信息安全学院、高级翻译学院、...}，②年级：{本科一年级、本科二年级、本科三年级、...}，③兴趣爱好：{打篮球、写书法、打羽毛球、...}。那么当用户注册并认证后，属性权威AA调用AttrKeyGen算法为各个用户生成属性私钥，并通过安全信道发送给对应用户。

同时，生成用户可用信息表AIT如表3所示，并同步至云服务器CS中。

表3用户可用信息表AIT示例

U<sub>id</sub>

是否可用

学院

年纪

…

兴趣爱好

2.加密文档上传

数据拥有者DO选定一个加密的对称密钥key并对文档明文进行加密，随后使用本发明的加密策略对该对称密钥key进行加密，最后将包括加密的文档明文和对称密钥key作为密文数据CT上传至云服务器CS中。

3.云服务器CS发放密文数据

当有数据请求者DU想要下载云服务器CS中的文档时，云服务器CS首先要对其进行身份核验。核验的具体过程为，数据请求者DU发送一个密文数据请求数据包给云服务器CS，接着云服务器CS判定以下两个等式是否成立：

若不成立，则断开与该数据请求者DU连接；若成立，则执行CTFilter算法，根据该数据请求者DU的属性来筛选过滤密文数据CT并最终返回CT_f，详细密文数据发放流程如图5所示。

4.云服务器CS代理执行解密测试

数据请求者DU将自己的部分请求属性私钥进行加密，得到{K^h,(K_i)^hb,(K′)^h}，同时，将部分密文数据CT_f也进行相应的加密，得到

最后再附上访问控制策略{M_l×n,ρ}并发送至云服务器CS。

云服务器CS在收到数据请求者DU发送过来的数据后，先罗列出访问控制矩阵M_l×n对应的若干属性子集构成的列表结构，再求解得到

向量，最后逐个去尝试解密测试判别列表结构中属性子集是否为最小属性子，若是则返回相关解密测试结果；若不成立，则返回解密失败。云服务器CS代理解密测试流程如图6所示：

5.文档解密

数据请求者DU在接收到云服务器CS发来的解密测试结果后，便可知自己是否为合法的解密用户。若返回的信息为“解密失败”，则终止文档解密；若返回了解密测试结果，则使用自己的请求者属性私钥来配合解密测试结果对密文数据CT_f进行解密，最终解密得对称密钥key。最后，用户从云服务器CS中下载对应的密文数据CT_f，并使用刚刚解密得的对称密钥key进行解密，生成原始的文档明文m。

整个隐私保护的高校学生云文档存储-分享系统流程图如图7所示。

综上所述，本发明实施例提出的实现了部分策略隐藏的属性基加密方法，属性权威AA和云服务器CS初始化各自的系统参数，属性权威AA向系统中的所有用户根据其属性分发属性私钥。接着，数据拥有者DO在本地生成针对自身明文数据的访问控制策略，并对明文数据进行加密得到密文数据，并最终将密文数据上传至云服务器CS中。当一个数据请求者DU想要请求某份密文数据时，其先向云服务器CS发送一密文数据请求，云服务器CS接收到密文数据请求后根据用户可用信息表AIT过滤被请求的密文数据CT，并将过滤后的密文数据CT_f发送给数据请求者DU。数据请求者DU接收到过滤后的密文数据CT_f后，在本地加密自身的部分请求者属性私钥K_u和部分过滤后的密文数据CT_f，并将加密后的请求者属性私钥K′_u和密文数据CT′_f发送给云服务器CS。云服务器CS在接收到加密后的请求者属性私钥K′_u和密文数据CT′_f后为数据请求者DU代为执行解密测试的计算，并最终将解密测试结果{*},

返还给数据请求者DU。数据请求者DU在接收到云服务器CS发来的解密测试结果{*},

后，在本地对加密的明文数据解密得到最终的明文数据m。可见，本发明实施例通过生成的访问控制策略实现部分策略隐藏的CP-ABE方案，根据用户可用信息表AIT过滤密文数据请求对应的密文数据实现对系统用户的密钥撤销功能；资源受限的用户端可能会无法负担较重的解密计算，因此非常有必要将部分解密计算，比如解密测试部分的计算外包给云服务器CS来完成，从而提高用户端的解密效率，同时在解密测试部分外包中，对请求者属性私钥K_u进行了加密，使得即使外包于云服务器也可以有效避免数据泄密的情况。

同时，当系统中探测出有用户的属性私钥泄露时，属性权威AA可对被泄露的属性私钥先后执行属性私钥完好性检测KeySanityCheck和恶意用户追溯Trace来确定出该属性私钥所属用户的用户ID，随后即可将用户可用信息表AIT中将GAvail设置为N来撤销该用户的相关解密权限。可见，本发明实施例通过将用户ID嵌入到用户的属性私钥中的方式，当系统中存在恶意用户泄露属性私钥时，辨认出该属性好私钥所属的用户的身份(用户ID)，即实现恶意用户追溯的功能。

总的来说，本发明实施例提出的实现了部分策略隐藏的属性基加密方法，为同时支持属性撤销、恶意用户追溯的部分策略隐藏的属性基加密方案，还将原本由数据请求者DU自己完成的解密测试移至了云服务器CS来做计算，使得即使是资源受限的设备也可以借助云服务器CS来加速解密计算，且本发明实施例验证了这个过程不会泄露数据请求者DU的隐私信息。

在本发明的描述中，需要理解的是，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本发明的描述中，“多个”的含义是两个或两个以上，除非另有明确具体的限定。

尽管在此结合各实施例对本发明进行了描述，然而，在实施所要求保护的本发明过程中，本领域技术人员通过查看说明书及其附图，可理解并实现所述公开实施例的其他变化。在说明书中，“包括”(comprising)一词不排除其他组成部分或步骤，“一”或“一个”不排除多个的情况。相互不同的实施例中记载了某些措施，但这并不表示这些措施不能组合起来产生良好的效果。

以上内容是结合具体的优选实施方式对本发明所作的进一步详细说明，不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干简单推演或替换，都应当视为属于本发明的保护范围。

Claims (10)

1.一种实现了部分策略隐藏的属性基加密方法，其特征在于，应用于包括属性权威、云服务器、数据拥有者和数据请求者的系统，对应加密方法包括：

所述属性权威和所述云服务器初始化各自的系统参数；

所述数据请求者向所述属性权威发送属性私钥请求；

所述属性权威接收到所述数据请求者发送的属性私钥请求后，根据所述数据请求者发送的属性私钥请求更新用户可用信息表，并生成请求者属性私钥，向所述数据请求者分发对应的请求者属性私钥，同时向所述云服务器发送更新后的用户可用信息表；

所述数据拥有者生成明文数据的访问控制结构，根据所述访问控制结构对所述明文数据进行加密得到密文数据，以及将所述密文数据和所述访问控制结构发送至所述云服务器；

所述数据请求者向所述云服务器发送密文数据请求；

所述云服务器接收到所述密文数据请求后，根据所述用户可用信息表过滤所述密文数据请求对应的密文数据，并将过滤后的密文数据发送至所述数据请求者；

所述数据请求者加密部分所述请求者属性私钥和部分过滤后的密文数据，并将加密后的部分请求者属性私钥和部分过滤后的密文数据发送至所述云服务器；

所述云服务器接收到加密后的部分请求者属性私钥和部分过滤后的密文数据后，根据所述访问控制结构为所述数据请求者代为执行解密测试计算得到解密测试结果，并将所述解密测试结果发送至所述数据请求者；

所述数据请求者接收到所述解密测试结果后，根据所述解密测试结果对所述密文数据进行解密得到最终的明文数据。

2.根据权利要求1所述的实现了部分策略隐藏的属性基加密方法，其特征在于，所述用户可用信息表包括：

所述数据请求者的用户ID、所述请求者属性私钥是否可用的标识、所述数据请求者的属性，以及所述数据请求者的属性是否可用的标识。

3.根据权利要求1所述的实现了部分策略隐藏的属性基加密方法，其特征在于，所述访问控制结构为基于LSSS的隐式访问结构；所述基于LSSS的隐式访问结构包括访问控制矩阵，以及所述访问控制矩阵与属性类别的映射关系。

4.根据权利要求1所述的实现了部分策略隐藏的属性基加密方法，其特征在于，根据所述数据请求者发送的属性私钥请求在所述属性权威生成请求者属性私钥，包括：

随机生成一随机变量；

根据所述数据请求者发送的属性私钥请求中用户ID、属性类别和属性值，以及所述随机变量在所述属性权威生成请求者属性私钥。

5.根据权利要求1所述的实现了部分策略隐藏的属性基加密方法，其特征在于，所述数据拥有者根据所述访问控制结构对所述明文数据进行加密得到密文数据，包括：

所述数据拥有者使用对称密钥对所述明文数据进行加密；

根据所述访问控制结构对所述对称密钥进行加密；其中，由加密的明文数据和加密的对称密钥构成所述密文数据。

6.根据权利要求1所述的实现了部分策略隐藏的属性基加密方法，其特征在于，所述云服务器根据所述用户可用信息表过滤所述密文数据请求对应的密文数据，包括：

所述云服务器对所述数据请求者进行身份认证；

对于身份认证通过的所述数据请求者，根据所述用户可用信息表过滤所述密文数据请求对应的密文数据。

7.根据权利要求4所述的实现了部分策略隐藏的属性基加密方法，其特征在于，根据所述访问控制结构为所述数据请求者代为执行解密计算得到解密结果，包括：

将所述访问控制矩阵按行展开生成一由若干属性子集构成的列表结构；

遍历所述列表结构中每一属性子集，判断当前属性子集是否为最小属性子集，若是，则将所述当前属性子集对应的求解结果作为解密结果，否则，继续判断下一属性子集是否为最小属性子集直至所述列表结构中所有属性子集完成判断。

8.根据权利要求1所述的实现了部分策略隐藏的属性基加密方法，其特征在于，对应方法还包括：

所述数据拥有者向所述属性权威发送属性私钥请求；

所述属性权威接收到所述数据拥有者发送的属性私钥请求后，根据所述数据拥有者发送的属性私钥请求更新所述用户可用信息表，并在所述属性权威生成拥有者者属性私钥，向所述数据拥有者发送拥有者属性私钥，同时向所述云服务器发送更新的用户可用信息表；其中，所述用户可用信息表包括所述数据拥有者的用户ID、所述拥有者者属性私钥是否可用的标识、所述数据拥有者的属性，以及所述数据拥有者的属性是否可用的标识。

9.根据权利要求5所述的实现了部分策略隐藏的属性基加密方法，其特征在于，根据所述解密测试结果对所述密文数据进行解密得到最终的明文数据，包括：

根据所述解密测试结果和所述请求者属性私钥对所述密文数据进行解密得到对称密钥；

根据所述对称密钥对加密的明文数据进行解密得到最终的明文数据。

10.根据权利要求8所述的实现了部分策略隐藏的属性基加密方法，其特征在于，对应方法还包括：

所述属性权威对疑似泄密的属性私钥进行完好性检测，若未通过完好性检测，则流程终止；所述属性私钥包括所述请求者属性私钥和所述拥有者属性私钥；

所述属性权威根据通过完好性检测的所述属性私钥还原属性私钥所属用户的用户ID；

根据所述用户ID更新所述用户可用信息表以撤销所述用户ID对应用户的相关解密权限。

Images